Привет! Я новичок в Ruby on Rails и Discourse.
Хочу проверить безопасность кода, проведя аудит. Я знаю, что такие инструменты иногда выдают ложные срабатывания.
Интересует, есть ли в Discourse уже встроенные средства для аудита безопасности? Я попробовал интегрировать Brakeman, и он выдал множество предупреждений: SQL-инъекции, опасная оценка кода (dangerous evaluation), обход проверки SSL. Сейчас я проверяю каждое предупреждение на достоверность, но иногда не уверен, стоит ли его игнорировать.
Добро пожаловать!
Это кажется не самым лучшим первым заданием, если вы ещё не очень хорошо знакомы с Rails и Discourse.
Команда Discourse очень серьёзно относится к безопасности и, помимо штата постоянных разработчиков, активно привлекает платформу HackerOne для поиска уязвимостей: HackerOne. Также см. How secure is Discourse?
Если вы не тестируете безопасность кода, который разработали вы сами, я бы рекомендовал вам сосредоточиться на чём-то другом. Вероятность того, что автоматизированный инструмент найдёт реальную уязвимость, крайне мала, практически равна нулю. Есть множество людей, которые лучше разбираются в вопросах безопасности в Rails и Discourse, чем вы, и которые уже активно работают над этим.
Спасибо за быстрый ответ.
Я это видел. Даже если я полностью доверяю безопасности Discourse, мне пришлось провести аудит в соответствии с политикой компании, чтобы упростить процесс интеграции. Всё остальное выглядит отлично, поэтому я и спрашивал, включают ли они функции тестирования аудита.
А, понятно. Ну, если вы что-то обнаружите, возможно, сможете немного подзаработать! 
Думаю, что большая часть такого тестирования выполняется в specs для Rails и тестах QUnit, но, похоже, я тут не смогу помочь.
Ладно, но всё равно спасибо за помощь